Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS
La faille de sécurité découverte par Linuz Henze est remarquable à plus d’un titre. Tout d’abord, elle permet de subtiliser les identifiants et les mots de passe stockés dans les Trousseaux d’accès de Mojave, sans que le malandrin ne possède le mot de passe admin de l’utilisateur. Dans la vidéo ci-dessous, le chercheur exploite la brèche grâce à KeySteal, un petit logiciel développé pour l’occasion. Il parvient à récupérer les données présentes dans les trousseaux Session et Système (mais pas dans le trousseau iCloud, immunisé).
La vulnérabilité, qui concerne aussi les Mac protégés avec SIP, n’a pas besoin des informations de contrôle d’accès du trousseau. Une vraie belle faille en somme, mais — et c’est l’autre aspect notable de cette découverte —, Linuz Henze n’a aucune intention d’en révéler les détails à Apple comme c’est pourtant l’usage.
Le spécialiste de la sécurité, qui n’en est pas à sa première trouvaille, entend ainsi protester contre le fait qu’Apple n’a pas de programme de chasse aux bugs pour macOS. Le « bug bounty » administré par le constructeur ne propose de récompenses qu’aux découvreurs de failles iOS.
Ce programme a d’ailleurs du plomb dans l’aile, c’est un club très fermé dont les sommes sont jugées insuffisantes en regard d’initiatives tierces bien plus rémunératrices (lire : Le programme de chasse aux bugs d'Apple fait un flop). Apple doit d’ailleurs revoir la gestion et le traitement des rapports de bugs suite à l’imbroglio de la faille FaceTime. macOS sera peut-être pris en compte à cette occasion.
Pour se prémunir en attendant un correctif qu’Apple aura du mal à fournir par manque d’information, il est toujours possible de verrouiller le trousseau Session (clic droit sur le trousseau), mais cela va multiplier les demandes de saisie du mot de passe dans macOS.
J'imagine que cette faille n'est pas l'apanage de Mojave, mais concerne aussi les versions antérieures de MacOS, soit High Sierra et Sierra?
Il indique "...affecting macOS Mojave and lower."
Donc toutes les versions de MacOS sont probablement affectées par cette faille
Oups :: fait accéder à l ordi ??
C’est quelqu’un de connu et sérieux ?
Parce que sa vidéo a elle seule, elle ne démontre rien du tout.
On reste obligé de le croire sur parole.
Donc avant de foncer, de crier encore, Apple de fout de nous, sécurité par dessus la jambe et tout ça, il faudrait tout de même un peu plus d’éléments.
S’ils arrivent, OK pour crier et pour passer sous Windows. Ou pas.
@Bigdidou
"OK pour crier et pour passer sous Windows"
1. Crier ne sert (plus) strictement à rien, sinon macOS serait déjà le système le mieux sécurisé au monde.
2. Windows 10 n’est pas foncièrement mieux. Mais ses vulnérabilités sont mieux connues, documentées, plus de gens s’en occupent, et Microsoft est (encore ?) dans une phase de comportement un peu plus adulte et responsable que ne l’est Apple. (Cela, on le sait, n’a pas toujours été le cas.)
Comme le montre l’exemple des failles Exchange déjà cité ici, information ne signifie pas automatiquement remède. Microsoft n’a pas changé du tout au tout, il y a encore trop d’occasions de pédaler dans la mélasse.
Mais il y a du progrès, comme dans le domaine des terribles messages KBxxxxxx :
https://arstechnica.com/gadgets/2019/01/microsoft-promises-to-make-windows-setup-error-messages-useful/
Alors que, pour l’instant, Apple persiste dans la direction opposée : celle de l’opacité, de l’infantilisation, du déni systématique, du refus de communiquer, sauf sous pression et in extremis.
Pour certains, ces différences peuvent ne paraître que des nuances. Mais au delà d’un certain seuil d’implication, ces différences ont l’effet cumulatif que l’un des systèmes est, ou devient, un environnement de travail viable, alors que l’autre cesse de l’être.
@occam
"OK pour crier et pour passer sous Windows"
Je blaguais ;)
Quoique, à force d’entendre parler ici de la Surface, pour un usage strictement professionnel en gardant le Mac pour la maison et l’iPad pour le quotidien je m’interroge.
@Bigdidou
Tiens c’est drôle comme réaction ?. J’ai une Surface Pro en privé en plus du matos Apple, mais en pro je ne prendrais jamais ça. (Sauf une Surface Studio car sans équivalent)
Parce que ma Surface Pro est soudée collée, les copies de Lénovo ou HP, 4 vis et hop démontée. Z’ont même des pdfs de démontage réparations sur leur sites pour les départements IT. Les Surface Book et Laptop sont collés soudés aussi.
Si je devais changer de crèmerie, je ne retomberai pas dans les même travers d’Apple.Sans compter que Dell et Hp et Lenovo ont de vrais services pro de dépannage/remplacement que n’a pas MS.
La gamme Surface ( j’en ai eu 3) a été mon premier pc physique et ça m’a bien appris une chose, l’herbe n’est pas plus verte ailleurs. Pas moins non plus.
@rolmeyer
C’est parce que j’ai des besoins d’ultra mobilité (un portable même petit, c’est vite encombrant et pas super discret surtout quand on le déplie) et pas des besoins particuliers en fixe en dehors d’une grande réactivité globale. Mais la puissance brute, pas vraiment (c’est le serveur des applications qui s’en occupe comme il peut).
L’iPad pro est très bien, mais j’ai un souci récurrent très spécifique de manipulation dans un logiciel via les clients à distance (Remote Desktop ou autres, tous) sur iOS qui commence à me gonfler sérieusement.
Et je suis plus du tout bricolo avec mes machines.
Malheureusement tout ça est vrai et le fait qu'Apple ne veuille pas payer suffisamment les hackers pour trouver les failles est là aussi une "grosse faille" chez Apple.
Apple est décidemment en ce moment dans une très mauvaise passe. Signe d'un tournant décisif ou juste un épiphénomène..? Pour les utilisateurs c'est quand même très embêtant car le trousseau c'est pas une simple photo avec copain ou copine sur la plage. Tim please, wake up !
@occam
Sous windows les mots de passe sont facilement accessible.
http://www.nirsoft.net/utils/web_browser_password.html
C’est du propre !
Il y a tellement de failles que s’ils devaient tous les rémunérer ils feraient faillite...??♂️
Ignorance is Strength.
(Ou comment rendre macOS/iOS invulnérables par déni.)
Ils sont radins chez Apple.
Demander 1000 balles pour un téléphone ou 2000 balles pour un ordi portable, ils savent faire.
Mais payer les failles aux chercheurs en sécurité ...
J'ai remonté par plusieurs canaux (rapport de bugs classiques, et par un canal plus "officiel") un bug qui empêche la mise à jour de la Bootrom sur plusieurs générations de machines.
Rien depuis + de 6 mois.
J'avoue que c'est déprimant, on a l'impression qu'il n'y a personne au bout.
Je confirme aussi…
déjà remonté des bug qui traînent depuis plusieurs moi par le canal feedback et le canal beta, et aucune réaction, ça commence à faire tache :(
Le pire c'est quand j'ai récemment contacté le support d'iTunes / Apple Music pour une fonctionnalité qui plante.
J'ai découvert que ce plantage arrivait qu'en français (belge) et qu'en changeant la langue de l'os, le plantage ne se produisait pas.
La personne du support l'a constaté mais m'a demandé de remonter le bug par apple.com/feedback plutôt que de remonter elle même le problème par voie interne…
Incompréhensible :(s
@macguy37
Oui. Pareil comme la dernier version d’iOS qui a mis en panne nombre de camera sur iPhone 6.
Et pourtant je suis enregistré comme bêta testeur. Jamais une réponse
Sauf une fois pour le clavier ou à force de faire remonter ils m’ont contacté pour savoir comment je m’y prenais....
Bof.
Je confirme que même en ayant un accès développeur leur système de remonté de bug est d'une nullité à faire peur, tout comme leur temps de reaction...
Pour donner quelques infos : j'ai passé 3 mois au tel avec les hautes instances d'Apple car j'ai été victime d'un bug trousseau.
La personne en question avait tout mes codes, favoris, prelogging enfin bref tout, mais ps l'inverse : moi je n'avais pas accès à ses codes.
Ils n'ont rien su faire et ont fini par ne plus répondre à mes sollicitations lorsque je leur répondais que le problème avait toujours lieu.
J'ai du changer de compte iCloud, changer tour mot de passe et supprimer toute mes photos. Car oui en plus de mdp il avait aussi accès à mon calendrier, mes photos (nudes de ma meuf du coup, le coquin wesh).. bref la totale ahaha
Donc Apple est vraiment une vaste blague en matière de protection des données lorsque je vois qu'il ferme mon dossier alors qu'il n'est ps résolu
@comboss
Je confirme. J’ai eu à m’occuper d’un cas analogue.
Résultat : nada.
@comboss @occam
Effectivement à ce que je vois c'est vraiment leur façon de faire quand ils n'arrivent pas à résoudre un problème au bout d'un moment plus personne ne répond.
C'est assez incroyable comme façon de faire.
Une curiosité, lorsque je fais sur le Finder “Masquer les autres“, Safari et parfois d'autres applications ne sont plus utilisable. Sur Safari, je ne peux changer d'onglet … Apple n'a pas trouvé la parade. Il suffit de quitter et relancer et ça rentre dans l'ordre.
Quand à 4D, c'est du pareil au même, quand je charge l'application avec un browser (Safari, Chrome ou Firefox), elle plante au démarrage. Si je la télécharge avec une application spécialisée comme SpeedDownload, Folx, je n'ai pas ce problème.
L’Os d’Apple n’est décidément plus ce qu’il était...
@pagaupa
‘L’Os d’Apple n’est décidément plus ce qu’il était...’
Peut-être ne l’a-t-il jamais été ;)
Mais bon, n’oublions pas Talleyrand : quand je me regarde, je me désole, quand je me compare, je me console..
C’est sûrement valable pour les OS aussi.
@pagaupa
Avant c’était mieux ?
Toute les versions seraient touché, cela remonte donc à OS X 10.5 de 2007..
Je n'aurai qu'une chose à dire pour les coutumiers du feedback "duplicata number 16372, case closed". Pour ma part il y a longtemps que j'ai arrêté de leur faire remonter des infos, ils en ont rien a foutre (et ils le montrent). Les seuls cas où c'est une urgence c'est quand cela passe sur FoxNews (cf faille Facetime).
Comme le découvreur indique sur son compte Twitter, son application ne peut extraire les mots de passe que du trousseau d'accès de l'utilisateur actif. Le trousseau système, de même que les trousseaux des autres utilisateurs ne sont pas accessibles. De même, il semble que cette application ne puisse fonctionner à distance. Et ce qu'elle fait, c'est juste la même chose que l'application Trousseau d'accès, sauf qu'aucune demande de mot de passe n'est affichée à l'écran.
Il faut donc avoir physiquement accès à la machine et que celle-ci soit déverrouillée. Un bon moyen de rappeler l'hygiène essentielle qui consiste, en matière de sécurité informatique, de bien mettre en place un mot de passe sur ses appareils. Le plus gros risque, ça reste toujours l'utilisateur lui-même.
Quand on y regarde de plus près, on voit qu'il existe l'utilitaire de ligne de commande security qui permet, entre autres, d'exporter tout ou partie du trousseau. C'est bien normal, puisque ce sont nos données après tout. Avec la commande find-internet-password, on peut ainsi afficher le mot de passe d'un compte de messagerie, par exemple. Telle quelle, la commande demande au système notre mot de passe, SAUF si dans la ligne de commande on précise le mot de passe (ce qui n'est pas recommandé).
Cela signifie que n'importe lequel d'entre nous pourrait développer une application maison comme la sienne qui exporte l'intégralité de nos mots de passe utilisateur sans nous demander de mot de passe (logique si on code en intégrant notre mot de passe en dur), la faire tourner sur notre machine, en faire une vidéo, et indiquer à Apple qu'ils sont nuls et qu'il y a une faille de sécurité, sans pour autant n'avoir rien démontré du tout.
Le découvreur semble refuser de dévoiler à Apple la faille sous prétexte qu'Apple ne paye pas. Mais si la faille est véritable, outre sa responsabilité dans la publication de cette faille potentielle et donc dans sa potentielle exploitation (ce n'est pas non plus le plus grand génie de l'informatique -ça se saurait- d'autres finiront bien par trouver le truc), il aurait sans doute bien davantage intérêt à tenter l'échange avec Apple. C'est un meilleur moyen d'être récompensé, si bien sûr la faille est avérée.
@MacRicow
« Cela signifie que n'importe lequel d'entre nous pourrait développer une application maison comme la sienne qui exporte l'intégralité de nos mots de passe utilisateur sans nous demander de mot de passe (logique si on code en intégrant notre mot de passe en dur »
C’est bien mon avis aussi et j’ai beaucoup de mal à croire à ce compte de troll.
« Cela signifie que n'importe lequel d'entre nous pourrait développer une application maison comme la sienne qui exporte l'intégralité de nos mots de passe utilisateur sans nous demander de mot de passe (logique si on code en intégrant notre mot de passe en dur »
A ce compte là, autant présenter comme venant du trousseau des infos qu'il est simplement allé lire dans un fichier texte...
@MacRicow
Recule sur la question très intéressante et très lucide.
Effectivement il faut beaucoup de portes ouvertes pour lui permettre au final de nous "détrousser" physiquement.
C’est un peu le but qui ne réactivait pas les écrans externes branchés au Mac Pro 2013 suite à une mise à jour sur Sierra... au vue de nombres de sujets relatant de ce problème à travers le monde (communautés française et anglophone)...
Je n’ai constaté que je n’avais plus ce problème que sous Mojave... via une mise à jour discrète? Apple a toujours considéré que le problème était matériel (c’est ce que citent plusieurs sources professionnelles reçues en Apple Store, plus de 5000€ de devis de réparations leurs a-t-on proposé). J’ai moi même contacte et envoyé de nombreux rapports de bug sans succès.
Depuis quelques mois, je ne sais par quel miracle, je n’ai plus ce problème...
Le trousseau est truffé de bugs.
Dans ma boîte, il refuse de sauvegarder les mots de passe des disques réseaux verouillés au personnel, et ce sur TOUS les postes.
Le bug est « connu » trouvable sur des forums depuis des années et toujours pas de correction ...
Il faut vraiment qu’ils fassent une année de chasse aux bugs complete. Mac OS en a vraiment vraiment besoin !
Trousseau, réseau, Bluetooth, Aperçu&pdf, ne sont qu’une petite partie de la liste des trucs qui buggent régulièrement sur Mac depuis 1/2 ans ...